Benutzerkonten und Gruppen verwalten Ein Rechner für alle von Anja M. Wagner

---

"Jedem Nutzer sein eigenes geschütztes Konto" -- diese Maxime gilt prinzipiell für jeden Linux-Rechner, egal ob das Betriebssystem auf einem Einzelplatz- oder Netzwerkrechner installiert ist. Mit anderen Worten: Der Pinguin ist familienfreundlich und WG-tauglich.

---

Es braucht nicht viel Phantasie um sich vorzustellen, wie wichtig und sinnvoll es ist, auch auf einem Einzelplatzrechner mehrere geschützte Benutzerkonten einzurichten. Ein und derselbe Rechner soll zum Beispiel allen Familienmitgliedern zur Verfügung stehen.

Man wird sich sicher einigen können, wer wann daran arbeiten darf. Es wäre allerdings ärgerlich, wenn mühevoll erstellte Dateien von einem anderen Nutzer versehentlich verändert oder gar gelöscht würden. Außerdem möchten Eltern vielleicht nicht, dass ihre Sprösslinge jedes Spiel installieren, das ihnen in die Finger kommt.

Abb. 1: Das Vorhängeschloss symbolisiert, dass dem angemeldeten Benutzer der Zugriff auf die Konten der anderen versperrt ist.

Ähnliche Voraussetzungen gelten in einer Wohngemeinschaft und wären auch für ein Büro denkbar, in dem ein Rechner von mehreren Kollegen gemeinsam genutzt wird. Dabei geht es neben der geforderten Privatsphäre immer auch um den Aspekt der Systemsicherheit: Kann jeder Nutzer das System manipulieren, wird es nicht lange stabil laufen.

Unter Linux ist ein normaler Anwender nie gleichzeitig "Superuser" mit Administratorrechten -- das ist ein wesentlicher Unterschied zu der Mehrbenutzerphilosophie von Windows XP.

Superuser "root"

Schon während der Installation von SuSE Linux und vor dem ersten Login bei Red Hat Linux werden Accounts für den Systemadministrator und einen "normalen" Nutzer angelegt. Der Administrator, also Superuser, heißt unter Linux bei jeder Distribution "root" (englisch: Wurzel). Sein Systemzugang wird genau wie die Konten aller anderen Nutzer mit einem Passwort geschützt. Root hat uneingeschränkten Zugriff auf das gesamte System, das heißt: auch auf die Dateien aller anderen Benutzer. In Familie und WG sollte also gut überlegt werden, wer die Funktion des Systemadministrators übernimmt.

Jeder Benutzer wird vom System mindestens einer Gruppe zugeordnet und hat unterschiedliche Rechte. Nur der Superuser "root" verfügt bei allen Dateien und Verzeichnissen über alle Rechte, nämlich Lesen (read = r), Schreiben (write = w) und Ausführen (execute = x). Deshalb können Systemdateien nur verändert werden, wenn "root" angemeldet ist, da nur der Administrator über die dafür nötigen Rechte verfügt.

Das Exekutivrecht "x" bedeutet für Verzeichnisse die Möglichkeit, überhaupt in ein Verzeichnis hinein wechseln zu können, und das Schreibrecht "w", im Verzeichnis neue Unterverzeichnisse und Dateien anlegen zu dürfen. Verfügt auch root bei einer Datei nicht über das Ausführungsrecht "x", handelt es sich um eine nicht ausführbare Datei, zum Beispiel eine Text- oder Bilddatei.

Alle normalen Benutzer gehören unter SuSE Linux zunächst zur Gruppe "users". Red Hat Linux ordnet voreingestellt jedem Benutzer eine eigene Gruppe zu, die den gleichen Namen wie der Besitzer trägt.

Wer welche Rechte hat

Wenn Sie wissen wollen, wie die Rechte eines Verzeichnisses oder einer Datei verteilt sind, starten Sie mit einem Klick auf das Symbol Ihres Home-Verzeichnisses im KDE-Panel den Dateimanager "Konqueror".

1. Wählen Sie in der Menü-Leiste Ansicht/Anzeigemodus/Detaillierte Verzeichnis-Ansicht.
2. In der Spalte Berechtigungen steht eine neunstellige Kombination aus den Kürzeln "r", "w", "x" und "-".

   

3. Die ersten drei Stellen zeigen die Rechte des Eigentümers der Datei oder des Verzeichnisses. Bei einer vom Benutzer tux angelegten und in seinem Home-Verzeichnis gespeicherten Datei steht das erste Tripel "rwx" dafür, dass der Besitzer tux über alle Rechte an dieser Datei verfügt.
4. Das zweite Tripel zeigt die Rechte der zur selben Gruppe wie tux gehörenden Benutzer, in diesem Fall der Gruppe users, der Gruppe tux oder der Gruppe urlaub (dazu später mehr).
5. Die Rechte aller übrigen, also fremden, Nutzer zeigt das letzte Tripel. Der Strich symbolisiert das Fehlen eines Rechts in der Reihenfolge "rwx". Darf tux eine Datei zum Beispiel lesen und ausführen, aber nicht verändern, hieße das Tripel: "r-x".

Auch wenn Sie alleiniger Nutzer des Rechners sind, ist es durchaus sinnvoll, mehrere Benutzer-Accounts anzulegen. So haben Sie noch mehr Freiraum, mit den Anwendungs- und Gestaltungsmöglichkeiten der grafischen Linux-Oberflächen zu experimentieren. tux01 kann zum Beispiel ein anderes KDE-Theme verwenden als tux, und tux02 kann statt mit KDE standardmäßig mit GNOME arbeiten.

Benutzer anlegen

Die Verwaltung der Benutzer und Gruppen ist eine der klassischen Aufgaben des Systemadministrators -- und ein solcher sind Sie, wenn Sie auf Ihrem privaten PC selbst Linux installiert haben und das Root-Passwort besitzen.

In diesem Workshop soll gezeigt werden, wie root mehrere neue Nutzer anlegt und diese einer neuen Gruppe zuordnet, wie es in einer Familie vorkommen könnte, in der alle Mitglieder Zugriff auf den Ordner mit den Urlaubsfotos haben wollen, oder in einer WG, in der sämtliche Bewohner Zugriff auf die Datei mit dem Putzplan haben sollen.

So geht's mit SuSE Linux

Die Benutzer- und Gruppenverwaltung unterscheidet sich bei SuSE Linux 8.1 und 8.2 nicht und ist über K-Menü/System/YaST2 zu erreichen.

Haben Sie sich als normaler Nutzer, wir nennen ihn im Folgenden tux, eingeloggt, springt nach dem Klick auf YaST2 ein Fenster auf und bittet um die Eingabe des Root-Passworts, denn nur als Root können Sie die gestellten Aufgaben ausführen.

1. Nach der Bestätigung des Passworts startet YaST2, und Sie wählen Sicherheit und Benutzer und dann auf der rechten Seite Benutzer bearbeiten und anlegen.

   

2. In der Eingabemaske ist die Option Benutzerverwaltung aktiviert. Klicken Sie auf Hinzufügen.

   

3. Die folgende Maske ist Ihnen während der Installation von SuSE Linux schon einmal begegnet. Sie können Vor- und Nachname des neuen Nutzers eintragen, müssen dies aber nicht.
4. Der Benutzername lautet in unserem Beispiel tux01. Der Eintrag des Benutzernamens ist obligatorisch, genauso wie die Vergabe eines Passworts.

   

Damit ist der neue Benutzer tux01 angelegt. Ein Klick auf Details zeigt wichtige Einstellungen, die YaST2 automatisch vornimmt: Ein Home-Verzeichnis für den Neuling wurde angelegt. Standardmäßig trägt es den Benutzernamen.

Als Login-Shell wird die /bin/bash ausgewählt. Die Shell ist die textbasierte Schnittstelle des Anwenders zum Betriebssystem. Sie stellt eine Kommandozeile zur Verfügung, auf der Sie Befehle eingeben können. Die Login-Shell ist die Shell, die ein Benutzer zum Arbeiten bekommt. Normalerweise ist dies die Bash (/bin/bash, "Bourne again shell").

Alle normalen Nutzer gehören zunächst der Gruppe users an (Abbildung 2).

Abb. 2: Die Login-Shell wird ebenso automatisch ausgesucht, wie das Home-Verzeichnis des Neulings angelegt wird.

Gruppe anlegen

Damit alle Nutzer, sprich Familienmitglieder, problemlos und uneingeschränkt Zugriff auf die Urlaubsfotos bekommen, legen Sie eine neue Gruppe an, nennen wir sie urlaub, und sämtliche Nutzer werden Mitglied dieser Gruppe.

1. Starten Sie YaST2 und wählen Gruppen bearbeiten und anlegen.
2. Dieselbe Maske wie zur Benutzerverwaltung öffnet sich, nur ist jetzt die Option Gruppenverwaltung aktiviert. Klicken Sie auf Hinzufügen.

   

3. Der Name der neuen Gruppe muss zwischen zwei und acht Zeichen lang sein. Die Vergabe eines Passworts ist optional. Wir nennen die neue Gruppe urlaub.

Legen Sie nun einen weiteren neuen Nutzer an, klicken Sie auf Details und setzen im Bereich Zusätzliche Gruppenzugehörigkeit ein Häkchen vor die Gruppe urlaub. Der Sinn der ganzen Sache ist: Die Rechte an einer Datei können einer Gruppe zugeordnet werden, und alle Gruppenmitglieder verfügen dann über diese Rechte.

Bei schon existierenden Benutzerkonten markieren Sie den Nutzer und klicken dann auf Bearbeiten/Details (Abbildung 3).

Abb. 3: "tux" und "tux01" sind ab sofort Mitglieder der Gruppe "urlaub" mit allen Rechten.

So geht's unter Red Hat Linux

Prinzipiell sind die Vorgänge, neue Benutzer und Gruppen anzulegen, bei Red Hat Linux sehr ähnlich.

1. Wählen Sie K-Menü/Systemeinstellungen/Benutzer und Gruppen
2. Sie werden zur Eingabe des Root-Passworts aufgefordert.
3. Der Red-Hat-Benutzerverwalter startet und listet alle vorhandenen Benutzer außer root mit Benutzernamen, Benutzer-ID, bevorzugter Gruppe, vollständigem Namen (falls eingetragen), Login-Shell (standardmäßig auch hier die /bin/bash) und Home-Verzeichnis auf.

   

4. In der Symbolbutton-Leiste klicken Sie auf Benutzer hinzufügen. Es öffnet sich eine Eingabemaske, in die Sie den Namen des neuen Nutzer, in unserem Beispiel soll er tux01 heißen, eintragen müssen.

   

5. Die Angabe des vollständigen Namens ist Ihnen freigestellt, ein Passwort müssen Sie vergeben.
6. Die Anmelde-Shell ist voreingestellt die /bin/bash; das sollte nicht verändert werden.
7. Die Option Hauptverzeichnis erstellen ist mit einem Häkchen versehen, deshalb erstellt der Red-Hat-Benutzerverwalter ohne Ihr Zutun das Home-Verzeichnis für tux01 -- es heißt /home/tux01. Dieses Verzeichnis könnten Sie verändern.
8. Ebenfalls standardmäßig ist die Option Eine private Gruppe für diesen Benutzer erstellen aktiviert. Dadurch gehört jeder Benutzer zu einer Gruppe gleichen Namens.
9. Klicken Sie auf OK, um alle Angaben zu bestätigen und zu speichern. Der Neue, tux01, tummelt sich ab jetzt im System.

Gruppe hinzufügen

Damit alle Benutzer des Rechners auf die Urlaubsfotos zugreifen können, ohne dass Ihnen ein Benutzer umfassende Rechte an seinem Konto einräumen müsste, legen Sie die Gruppe urlaub an, der Sie dann alle Familienmitglieder zuordnen.

1. Klicken Sie im Red-Hat-Benutzerverwalter auf Gruppe hinzufügen.
2. Tippen Sie den Namen der neuen Gruppe in die Textzeile. Großbuchstaben sind nicht erlaubt.

   

3. Klicken Sie auf OK. Sie kehren zur Oberfläche des Benutzerverwalters zurück und klicken auf den Reiter Gruppen.
4. Markieren Sie die Gruppe urlaub und klicken auf Eigenschaften in der Symbolbutton-Leiste.

   

5. Im Fenster Gruppeneigenschaften wählen Sie den Reiter Gruppenbenutzer.
6. Sämtliche Benutzer, auch die System-Benutzer, werden alphabetisch aufgelistet. Setzen Sie ein Häkchen vor die Familienmitglieder, hier tux, tux01 und tux02.

   

Ordnung im System

Um Ordnung auf dem Familien-PC zu halten, können Sie ein separates Home-Verzeichnis anlegen, in dem die Urlaubsfotos für alle Gruppenmitglieder zugänglich abgelegt werden. Dieser Vorgang ist für SuSE und Red Hat Linux nahezu gleich.

1. Dazu starten Sie den Datei-Manager Konqueror im Administratormodus ([Alt-F2] drücken und dann kdesu konqueror eingeben) und legen das Verzeichnis /home/urlaub/ an.
2. Nach einem Rechtsklick auf das neue Verzeichnis wählen Sie Eigenschaften/Berechtigungen. Eigentümer ist zunächst root. Damit alle anderen auf das Urlaubsverzeichnis zugreifen können, setzen Sie drei Kreuzchen in der Zeile Gruppe und verändern die Gruppe von root auf urlaub.

   

Stellt nun ein Familienmitglied eine Datei, die für alle Mitglieder der Gruppe urlaub zugänglich sein soll, in dieses Verzeichnis, muss es nach dem Ablegen, per Rechtsklick Eigenschaften aus dem Kontext-Menü wählen und die Berechtigungen festlegen, also der Gruppe "urlaub" Lese-, Schreib- und je nach Dateityp auch Ausführungsrecht einräumen. Verändert ein Gruppenmitglied eine Datei, bearbeitet zum Beispiel ein Foto, müssen die Rechte nicht neu vergeben werden. (hge)

Regeln für ein sicheres Passwort

Ein Passwort sollte mindestens acht Zeichen lang sein. Es sollte kein Ausdruck sein, der im Wörterbuch zu finden ist, und natürlich auch nicht der eigene Name, das Geburtsdatum und ähnliches leicht zu Erratendes. Das Passwort sollte neben Groß- und Kleinbuchstaben Ziffern und Sonderzeichen enthalten, regelmäßig geändert und nirgends gespeichert werden. Sicher und trotzdem leicht zu merken: Denken Sie sich einen Liedanfang oder eine Gedichtzeile und wählen die Anfangsbuchstaben der Wörter als Passwort. Vertauschen Sie Groß- und Kleinbuchstaben und streuen Sie Ziffern und Sonderzeichen ein.

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.